Einer Marktstudie zum Stand der Digitalisierung in der Schweizer Spitallandschaft zufolge hinkt das eidgenössische Gesundheitswesen in Sachen Digitalisierung anderen Branchen hinterher; die Wandlung zum digitalen Spital wird dringendst empfohlen. Doch wie sicher ist die IT-Infrastruktur der Gesundheitsbranche in der Schweiz?
Kaspersky hat im Rahmen einer neuen Studie IT-Entscheidungsträger aus dem Healthcare-Ökosystem zur IT-Sicherheitslage in Deutschland, Österreich und der Schweiz befragt. Demnach stufen knapp drei Viertel (74 Prozent) der Schweizer Studienteilnehmer die aktuelle Bedrohungslage für Cybersicherheit innerhalb ihrer Organisation als ,hoch' ein. Mit mehr als der Hälfte (60 Prozent) glauben überdurchschnittlich viele Schweizer Studienteilnehmer im Vergleich zu Deutschland (44 Prozent) und Österreich (31 Prozent) nicht daran, dass die interne Expertise zum IT-Sicherheitsfachwissen ausreicht, um das eigene Unternehmen vollumfänglich vor Cyberrisiken zu schützen. Dass die Gesundheitsbranche in der Schweiz laut der Kaspersky-Studie ein konstant hohes Angriffsniveau seit Beginn der Covid-19-Pandemie verzeichnet, weist zudem darauf hin, dass in punkto IT-Sicherheit noch ein paar Schritte zu gehen sind. Mehr als drei Viertel (78 Prozent) der Schweizer Unternehmen im Gesundheitssektor erlebten während der Covid-19-Pandemie mindestens einen Angriff auf ihre IT-Infrastruktur. Bei einem knappen Drittel (32 Prozent) sind die Angriffe in diesem Zeitraum sogar gestiegen - der höchste Zuwachs in der Region DACH. Entsprechend den reellen Cyberbedrohungen stufen die eidgenössischen IT-Entscheidungsträger mit 74 Prozent am häufigsten im DACH-Vergleich die Bedrohungssituation für ihr Unternehmen als ,hoch' ein". Zum Vergleich: in der gesamten Region DACH sind dieser Meinung 61,4 Prozent (in Deutschland 58,7 Prozent; 53 Prozent in Österreich). "Diese Einschätzung zeigt, wie wichtig ein leistungsstarker Cyberschutz für die zum Teil sehr vulnerablen Systeme in vielen Healthcare-Bereichen, wie beispielsweise in Spitälern, Pflegeeinrichtungen oder auch in der Forschung, Beratung und im Arzneimittelbereich, ist", so René Bodmer, Threat Intelligence Services Switzerland and Austria bei Kaspersky. "Entscheidungsträger müssen jetzt aktiv werden und ihre Systeme vor Schadprogrammen und Cyberattacken präventiv schützen."
Top-Angriffsvektoren in der Schweiz
Die meisten Cybersicherheitsprobleme entstanden in der Gesundheitsbranche in der Schweiz durch Spear-Phishing-Attacken (42,3 Prozent), gefolgt von Ransomware und ungepatchten Programmen mit jeweils 39,7 Prozent, gezielten Angriffen und DDoS-Attacken mit je 37,2 Prozent sowie Spyware mit 32,1 Prozent. Schlusslicht der Cyberbedrohungen im eidgenössischen Gesundheitswesen sind generischen Malware-Angriffe 31 Prozent. Auffällig: Die Schweizer Befragten gaben bei allen Arten von Cyberangriffen und Cybersicherheitsherausforderungen, mit Ausnahme von Spyware-Angriffen, eine überdurchschnittliche Bedrohungslage an. Auf die offen gestellte Frage "Was ist Ihre grösste Sorge in Bezug auf die IT-Sicherheit in Ihrem Unternehmen?" antwortet ein Schweizer Umfrageteilnehmer aus dem Bereich ,Forschung & Ausbildung' passend: "Was mich nachts wachhält? Datendiebstahl oder ein Ransomware-Angriff, der das Vertrauen unserer Kunden in uns schmälert."
Jeder Vierte sorgt sich um den Verlust von Patienten- und Unternehmensdaten
Darüber hinaus sorgen sich die befragten IT-Entscheider aus dem Schweizer Gesundheitswesen um einen möglichen Verlust sensibler Patienten- und Unternehmensdaten. Mit 24 Prozent sehen knapp ein Viertel der Befragten dies als größte Cyberbedrohung, "da Datendiebstahl Kunden gefährdet", so ein in der Schweiz befragter Mitarbeiter aus dem Bereich ,Prävention, Gesundheitsförderung sowie Gesundheitliche und Pflegerische Versorgung'. Auch fehlende IT-Sicherheitsexperten und mangelndes IT-Wissen der Mitarbeiter werden als potenzielle Gefahren für Unternehmen eingeschätzt (jeweils 18 Prozent). "Die von uns befragten IT-Entscheidungsträger sehen insbesondere ihre Mitarbeiter und deren fehlendes Cybersicherheitsbewusstsein als grosses IT-Sicherheitsrisiko", ergänzt Bodmer. "Durch entsprechende Schulungen, wie etwa unserem Kaspersky Security Awareness-Training, das einfach und praktisch durch Mikro-Lerneinheiten in den Arbeitsalltag integriert werden kann, werden alle Mitarbeiter, egal welcher Abteilung, individuell über den richtigen Umgang mit potenziellen digitalen Gefahren in ihrem jeweiligen Zuständigkeitsbereich umfassend geschult." Ausserdem weist Bodmer darauf hin, dass das Thema weitaus breiter anzusehen ist als es auf den ersten Blick erscheinen mag. Er sagt: "Mit der Einführung des Elektronischen Patienten Dossiers (EPD) sollten weitere Vorsichtsmassnahmen im Bereich der Datensicherheit, sowie der Cybersicherheit ergriffen werden. Hiervon sind sämtliche Leistungserbringer im Gesundheitswesen betroffen, also auch Spitäler, niedergelassene Fach- und Allgemeinmediziner, Apotheker, Physio- und andere Therapeuten, Reha- und Pflegeheime und viele mehr."
Die Schweiz mit den meisten SOC
In der Schweiz investiert die Gesundheitsbranche im Vergleich zu Deutschland und Österreich am häufigsten in ein eigenes Security Operation Center (SOC). Knapp ein Drittel (30 Prozent) der Befragten gibt an, in ihrem Unternehmen werde ein eigenes SOC betrieben - mehr als in Deutschland (20,7 Prozent) und Österreich (28 Prozent). Ob Einsatz von SOCs, Threat Intelligence oder Cloud-Sicherheit - in der Schweiz werden insgesamt grundsätzlich mehr Massnahmen zum IT-Schutz ergriffen als in den anderen beiden Ländern. Die komplette Studie "Patient Krankenhaus - Kaspersky-Studie zur IT-Sicherheitslage im Gesundheitswesen in Deutschland, Österreich und der Schweiz" inklusive der DACH-übergreifenden Zahlen und der Aufschlüsselung nach den einzelnen Ländern kann hier heruntergeladen werden.